Delen via

Infoblox Data Connector via REST API-connector (met behulp van Azure Functions) voor Microsoft Sentinel

  • Artikel

Met de Infoblox Data Connector kunt u eenvoudig uw Infoblox TIDE-gegevens en dossiergegevens verbinden met Microsoft Sentinel. Door uw gegevens te verbinden met Microsoft Sentinel, kunt u profiteren van zoek- en correlatie, waarschuwingen en bedreigingsinformatieverrijking voor elk logboek.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector Beschrijving
Log Analytics-tabellen Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Infoblox

Voorbeelden van query's

Tijdsbereik voor mislukte indicator ontvangen

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Bereikgegevens voor mislukte indicatoren

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois-gegevensbron

dossier_whois_CL

| sort by TimeGenerated desc

Dossier tld risicogegevensbron

dossier_tld_risk_CL

| sort by TimeGenerated desc

Gegevensbron van bedreigingsacteur dossier

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier-rpz-feeds records gegevensbron

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Gegevensbron voor dossier-rpz-feeds

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossiernaamserver komt overeen met gegevensbron

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossier nameserver-gegevensbron

dossier_nameserver_CL

| sort by TimeGenerated desc

Malwareanalyse v3-gegevensbron dossier

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossiergegevensbron

dossier_inforank_CL

| sort by TimeGenerated desc

Dossier infoblox web cat-gegevensbron

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Geogegevensbron dossier

dossier_geo_CL

| sort by TimeGenerated desc

Dossier dns-gegevensbron

dossier_dns_CL

| sort by TimeGenerated desc

Bedreigingsgegevensbron dossier atp

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier atp-gegevensbron

dossier_atp_CL

| sort by TimeGenerated desc

Dossier ptr-gegevensbron

dossier_ptr_CL

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met Infoblox Data Connector via REST API (met behulp van Azure Functions), moet u het volgende doen:

  • Azure-abonnement: Azure-abonnement met de rol eigenaar is vereist voor het registreren van een toepassing in Microsoft Entra-id en het toewijzen van de rol van inzender aan de app in de resourcegroep.
  • Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
  • REST API-referenties/machtigingen: Infoblox-API-sleutel is vereist. Raadpleeg de documentatie voor meer informatie over API in de Rest API-naslaginformatie

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Infoblox-API om bedreigingsindicatoren voor TIDE te maken en dossiergegevens op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra-id

Voor deze integratie is een app-registratie in Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:

  1. Meld u aan bij het Azure-portaal.
  2. Zoek Microsoft Entra ID en selecteer deze.
  3. Selecteer onder Beheren App-registraties > Nieuwe registratie.
  4. Voer een weergavenaam voor uw toepassing in.
  5. Selecteer Registreren om de initiƫle app-registratie te voltooien.
  6. Wanneer de registratie is voltooid, wordt in Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van het TriggersSync-playbook.

Referentiekoppeling: /azure/active-directory/develop/quickstart-register-app

STAP 2: Een clientgeheim toevoegen voor de toepassing in Microsoft Entra-id

Soms een toepassingswachtwoord genoemd, is een clientgeheim een tekenreekswaarde die vereist is voor de uitvoering van triggersSync-playbook. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:

  1. Selecteer in Azure Portal in App-registraties uw toepassing.
  2. Selecteer Certificaten en geheimen Clientgeheimen > > Nieuw clientgeheim.
  3. Voeg een beschrijving voor uw clientgeheim toe.
  4. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. Limiet is 24 maanden.
  5. Selecteer Toevoegen.
  6. Registreer de waarde van het geheim voor gebruik in de toepassingscode van uw client. Deze geheimwaarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van triggersSync-playbook.

Referentiekoppeling: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

STAP 3: Rol van Inzender toewijzen aan toepassing in Microsoft Entra-id

Volg de stappen in deze sectie om de rol toe te wijzen:

  1. Ga in Azure Portal naar de resourcegroep en selecteer uw resourcegroep.
  2. Ga vanuit het linkerdeelvenster naar Toegangsbeheer (IAM ).
  3. Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
  4. Selecteer Inzender als rol en klik op volgende.
  5. Selecteer User, group, or service principalin Toegang toewijzen aan .
  6. Klik op Leden toevoegen en typ uw app-naam die u hebt gemaakt en selecteer deze.
  7. Klik nu op Beoordelen + toewijzen en klik vervolgens nogmaals op Beoordelen + toewijzen.

Referentiekoppeling: /azure/role-based-access-control/role-assignments-portal

STAP 4: stappen voor het genereren van de Infoblox-API-referenties

Volg deze instructies voor het genereren van de Infoblox-API-sleutel. Genereer in de Infoblox Cloud Services-portal een API-sleutel en kopieer deze ergens die veilig kan worden gebruikt in de volgende stap. Hier vindt u instructies voor het maken van API-sleutels.

STAP 5: stappen voor het implementeren van de connector en de bijbehorende Azure-functie

BELANGRIJK: Voordat u de Infoblox-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en de primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende).

Arm-sjabloon (Azure Resource Manager)

Gebruik deze methode voor geautomatiseerde implementatie van de Infoblox Data-connector.

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in Azure

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

  3. Voer de onderstaande informatie in: Azure Tenant-id Azure-client-id Azure Client Secret Infoblox API-token Infoblox Base URL Workspace Key Log Level (Standaard: INFO) Resource-id van app Insights-werkruimte met betrouwbaarheidsniveau

  4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.

  5. Klik op Kopen om te implementeren.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.